📰 Artículos

¿Puerta trasera?

hermandad 19 diciembre 2001 13:42

⋮

Recientemente hemos oído hablar de la última actualización de firmware para el router ADSL 5660 Efficient. Esta actualización es concretamente la 230b4r1.img. Pues bien, desde la hermandad, queremos advertir que este parche tiene toda la pinta de ser una puerta trasera para nuestros sistemas. El parche, que aparece en las páginas de Terra, y que recomiendan fervientemente como una actualización importante para poder ver "ciertas páginas web"? que antes no se veían, viene acompañado de un fichero ( .exe) que evitará que tengamos que hacer ftp a nuestro router para subir la imagen...

Esto, que nos parece muy bien, no es sino una forma de hacer que el parche sea fácilmente aplicable incluso para personas que no estén acostumbradas a usar ftp o telnet de modo habitual.
En la hermandad hemos comprobado que una vez instalado el parche se crean unos "pequeños cambios" en la configuración del router.
Por defecto, y como configuración inicial de terra, el router viene con unas reglas de filtrado de paquetes IP. Existe una regla que nos llama la atención, es la regla número 4.
Esta regla permite el acceso a nuestro router desde cualquier dirección IP, bajo cualquier protocolo. Con lo cual deja nuestro router abierto a cualquier conexión que desde el exterior quieran hacer, sin que nosotros nos enteremos.
Pues bien, en la hermandad hemos procedido a eliminar esta regla. Y cual ha sido nuestra sorpresa cuando vemos que si lo hacemos, nos es imposible conectar hacia el exterior ya sea para ver una simple página web o para hacer ftp o telnet a otros servidores. Sin embargo una vez rehabilitada dicha regla, el router trabaja como siempre y con aparente normalidad.
Hemos comprobado que esta regla podía desaparecer en las actualizaciones de firmware anteriores a la mencionada 230b4r1.img sin merma alguna de rendimiento en nuestro router y sin restricciones en nuestras condiciones de uso normales.
Por lo que hemos llegado a pensar, que esta regla de filtrado, que a tanto bombo y platillo nos están anunciando no es sino un posible método para intentar conseguir que ninguno de los usuarios de dichos routers puedan deshabilitar esta regla de filtrado tan importante, ya que si lo hicieran, perderían la capacidad de poder usar el router.
Estas indagaciones nos hacen pensar en la hermandad, que se trata de un "parche" para evitar que se eliminen ciertas puertas traseras con la que los chicos de nuestro ISP o cualquier otra persona tienen acceso bajo "cualquier protocolo" y desde "cualquier IP" a nuestro router.
Una de las consecuencias mas peligrosas o de alto riesgo inmediata es que la clave de acceso a nuestro router podría ser cambiada a voluntad por cualquiera que pudiese acceder al mismo en modo telnet, con las implicaciones que esto pudiera ocasionar.
Recomendamos a los usuarios "no" instalar esta actualización de firmware por dichas circunstancias.
Un saludo, T&G

💬 Comentarios

BocaDePez 19 diciembre 2001 14:21

⋮

He instalado el firmware para verlo y sigo sin tener ninguna regla de filtrado ip. No uso ni Napt ni DHCP

BocaDePez 19 diciembre 2001 14:23

⋮

asi
DNS Server on router Disabled
DHCP Server on router Disabled
NAPT Mode Disabled
RIP Mode Disabled
IP Filter Mode Disabled

Josh 19 diciembre 2001 14:26

⋮

que es la hermandad?

✖

aroaros 19 diciembre 2001 16:20

⋮

Localidad: Madrid
Ocupación: --
Aficiones: --?

Firma:
Ni un átomo de mediocridad en la hermandad

Unos macarras, por lo que se ve. :)

BocaDePez 19 diciembre 2001 16:47

⋮

No lo sé pero con ese nombre deben de ser super peligrosos y, por supuesto, élite.

MaX 19 diciembre 2001 14:43

⋮

Yo actualice el firmware ara sobre un mes o asi, cuando aparecio un post en las news de terra. Lo baje de efficient.com

Mis reglas de filtrado no han cambiado ninguna y puedo seguir añadiendo/quitando sin problemas, y no he tenido ningun problema desde entonces.

Si alguien tiene mas problemas, puede q me lo crea ;)

Un saludo.

aroaros 19 diciembre 2001 16:18

⋮

Hoax Rulezz!!

Again.

xavierg 19 diciembre 2001 16:26

⋮

pues yo lo actualice y me paso... ya lo he arreglado por supuesto

dRsILICON 19 diciembre 2001 17:53

⋮

Bueno pues para aportar más experiencias decir que yo me he bajado el firmware de la web de efficient y me lo he actualizado mediante el método tradicional del ftp y no he tenido ningún tipo de problema ni cambio en la configuración del router. Vamos que no me ha añadido ningua regla en el ip filter ni nada.

No sé yo si el software que han creado para actualizarlo puede ser que las añada (no en vano en la propia web de efficient cuando vas a "spain" pone teléfonica, así que no sería de extrañar que comprandoles tantos routers hubiera accedido a incluir en su soft la config de las reglas ip).

Pero vamos que actualizando por ftp todo ha ido como siempre con este router, perfectamente :)

xony 19 diciembre 2001 18:37

⋮

Anda, pues a mi también me ha ocurrido, pero la he borrado, y me va bién como siempre.

Joer que mal, y eso que yo lo hice bajandome la firmware de efficient y haciendo ftp tradicional.

Saludos.

BocaDePez 19 diciembre 2001 18:39

⋮

Hace mas o menos como 1 mes q instale la actualizacion desde la pagina oficial y se me solucionaron mis problemas, o casi todos. Como no me fiaba mucho le pase varios escanner y todos ellos me dieron como q tenia la mejor configuracion del moden. Pero tb digo q yo de esto no tengo mucha idea.

jbravo 20 diciembre 2001 01:40

⋮

Entonces, q hacemos? Actualizamos la firmware, o no? Ahora tengo un dilema, a algunos de vosotros os tira, a otros no....... Porfavor, alguno de los artistas de esto de los routers que de su opinion.
Creo q habia un comentario q decia: lo instalé y luego solucioné el problema. Lo hay? Como solucionarlo?
Gracias a todos de antemano.

BocaDePez 20 diciembre 2001 02:26

⋮

deberias mirarte un poco mas detenidamente como van las reglas de filtrado, si tienes los filtros activados el router no deja pasar nada que no tengas explicitamente puesto
cualquier intento de conexion pasa por las reglas en el orden que tienen, y si el caso no se incluye en una pasa a la siguiente
si la conexion no es permitida o prohibida por ninguna regla anterior, tiene que haber una ultima que lo deje pasar todo

basta con borrarlas todas (la que molesta no es la ultima, sino las otras)

no se si telefonica hacia cambios en la configuracion con ese ejecutable, pero si lo instalas a traves de ftp directamente evitas ese riesgo...

aun asi, si no se tienen abiertos los puertos correspondientes al exterior (en el NAPT), ya pueden decir misa los filtros

quien tenga el router en monopuesto (no firewall) alla ellos, eso es un agujero como el de gescartera de grande para los troyanos

para los que salten tachandome de listillo y demas (que siempre los hay tanto si alguien dice algo serio como si se las da de listo), que se informen un poquillo antes de criticar...

egde 20 diciembre 2001 07:50

⋮

Pues eso, que teniendolo en multipuesto con los puertos de telnet cerrados y actualizado por ftp, estamos exentos del peligro no??

Un saludo.

BocaDePez 20 diciembre 2001 13:28

⋮

En las páginas de terra, efectivamente, aparece la versión 2.3.0b4r1 (beta 4 de la versión 2.3.0 del firmware, release 1), pero si vais a la web de efficient, podeis descargar ahí la última versión del firmware para el speedstream 5660, la 2.3.0 release 2 ((link roto) que entre otras cosas, arregla el problema del counter strike por internet (a aquellos que no podian conectar), incluye soporte de netmeeting, etc.

ToNeCho.

BocaDePez 20 diciembre 2001 14:21

⋮

PFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

PERO TU SABES AL MENOS LO QUE ES UN ROUTER? XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD

ANDA GUAPO INFORMATE MEJOR, K NO TIENES NI PUTA IDEA

las reglas de filtrado en los routers son complementarias y se leen de arriba abajo, y la ultima implicitamente es deny all, por eso siempre hay que poner un allow all al final de una lista de reglas... en fin...

jbravo 20 diciembre 2001 16:56

⋮

yo, las ip filter las tengo disabled. Q significa eso?

BocaDePez 21 diciembre 2001 03:35

⋮

Bueno...
Yo tengo el router en monopuesto y aún no he recibido el "malicioso ataque de los hackers" del que se habla, me refiero a comentarios como este:
"quien tenga el router en monopuesto (no firewall) alla ellos, eso es un agujero como el de gescartera de grande para los troyanos", en fin... sin comentarios :P
También tenía un par de dudas...
¿Pará qué sirve la actualización del Efficient? (Que mejoras trae)
Es que siempre he tenido el router en monopuesto, no he actualizado y me va de pm con todo XD
Nada más, un saludete :*

psik0 - rkt@ifrance.com

✖

BocaDePez 21 diciembre 2001 11:10

⋮

no se ha hablado de ningun "malicioso ataque de los hackers", mientras no seas un pardillo de los que abre todo lo que le mandan por mail o irc sin saber que es tampoco pasa nada
tambien hay que ser imbecil para divertirse hackeando los pcs de particulares

✖

BocaDePez 21 diciembre 2001 15:58

⋮

Bueno...
Por eso mismo :P Mucha gente asusta a otra mucha gente para que no se cambie de multipuesto a monopuesto por los ataques de los hackers (no comments :P). Era simplemente una ironía... Es que de verdad, veo mucho mejor, si solamente tienes un PC (nada de redes, etc), tener la ADSL en monopuesto, ya que no tienes que ir trasteando movidas de puertos. Creo que nada más, gracias por tu reply, se agradece saber que alguien me lee.
Un saludete :*

psik0 - rkt@ifrance.com

MaX 22 diciembre 2001 02:57

⋮

Como para todo, depende del administrador/usuario.
Como tu dices por ahi, para un solo ordenador mejor y mas comodo en monopuesto.
En cuanto a "eso es un agujero como el de gescartera", segun eso un modem tb lo es, y ademas tp es bueno fiarse tanto de un aparatito (vease el caso de 3com y el fallo de poder resetearlo sin meter la pass ;)

Un saludo.

✖

BocaDePez 22 diciembre 2001 11:40

⋮

Bueno...
Gracias por contestar ante todo, se agradece :P.
Entiendes justo lo que quería decir, si el monopuesto es "un agujero como el de gescartera"... ¿Los módems qué? Bueno, nada más que estoy malito.
Un saludete :*

psik0 - rkt@ifrance.com

jbravo 21 diciembre 2001 07:15

⋮

Bueno, por fin me he decidido a actualizar el firm, la verdad es que no he notado nada extraño, pq las Ip Filters las sigo teniendo desactivadas (aun no se si debe estar asi o no, si es malo o bueno). He observado q la regla 4ª da acceso a cualquiera, pero... al tener los filtros desactivados influye en algo? Espero que alguien pueda resolver mis dudas.
Muxas gracias.

PD: joer, ke lio........